Site Internet : réaliser un audit sécurité

site internet

Les méthodes pour tester la sécurité d’un site internet sont fondées sur des audits pouvant prendre plusieurs formes

Tout d’abord, il faut comprendre que l’objectif d’un audit sur un site internet est de vérifier le niveau de sécurité réel des systèmes ou des applications au travers de différentes méthodes, que sont la simulation d’attaques, l’analyse du code et la revue de la configuration des équipements. Cette compréhension peut d’autre part s’acquérir de trois méthodes différentes. Le client souhaitant auditer son application se doit de déterminer celle qui lui convient.

Ainsi, pour un site internet il existe trois méthodes:

  1. mode boite blanche ou « white-box »
  2. mode boite grise ou « grey-box »
  3. mode boite noire ou « black-box »

site internet audit sécuritéDans le premier cas, « white-box », l’auditeur a accès à l’ensemble du code de l’application et peut utiliser des comptes utilisateurs et administrateurs, que le client lui a fournis, pour se déplacer sur le site internet . Cette méthode permet de lister rapidement les trous de sécurité, en se positionnant sur chacun des équipements et en vérifiant les configurations mises en œuvre sur chacun d’entre eux. L’audit passe alors par la liste des bonnes pratiques de configuration ou d’ingénierie desdites  applications, les recommandations d’un expert du produit ou du langage de développement. La partie comportement et usages est aussi importante dans cette méthode. Elle permet en effet de vérifier les droits d’accès des différents utilisateurs et donc de lister les risques encourus en cas d’attaque par un ordinateur affecté d’un utilisateur.

Dans le deuxième cas, « grey-box », l’auditeur possède simplement un accès utilisateur ou administrateur à l’application, mais il n’a pas l’accès au code source. Les simulations d’attaques se font donc sans connaissance du produit supportant l’application. Cette méthode permet en plus de vérifier les risques liés au comportement comme pour le mode white-box, de se positionner sur des attaques plus globales en ne ciblant pas uniquement la technologie éventuellement utilisée par l’application. En effet, les attaques sont menées de manières plus globales et peuvent ainsi laisser entrevoir des failles non connues à ce jour sur l’applicatif. Cette méthode est souvent celle choisie par les clients pour valider leur applicatif.

Dans le troisième cas, « black-box », l’auditeur ne possède ni accès à l’applicatif ni au code source. Il est donc considéré comme n’importe quel internaute visitant le site de l’application. L’auditeur se doit alors d’user d’outils et de stratégies d’attaques à large spectre en visant les faiblesses connues. Cette méthode apporte de nombreux avantages, car elle permet souvent de trouver des failles complexes. Toutefois, elle comporte toutefois des risques pour le client. En effet, les attaques peuvent s’avérer destructrices et modifier l’intégrité de l’applicatif, avec toutes les conséquences que cela implique.

Selon la méthode d’audit menée, l’évaluation de la robustesse porte sur les couches réseau, système ou applicative ou les trois à la fois ou encore sur les règles de codage ou de paramétrage de l’applicatif. Dans chacun des cas, il est important de faire mener cet audit par des sociétés avec des experts certifiés.

L’utilisation d’outils disponibles sur Internet apporte des réponses, mais sont aussi des véhicules pour des virus, voire destructeurs et sans possibilité de retour arrière. La compréhension de votre besoin et les conseils d’un expert sont donc primordiaux dans ce type d’audit.

Quelle que soit la méthode choisie, les livrables doivent toujours comporter une liste exhaustive des tests menés, des conclusions pour chacun de ces tests, qu’ils soient positifs ou négatifs, d’un résumé des vulnérabilités et des préconisations de l’expert pour réparer les failles détectées.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*